揭开病毒的面纱——恶意代码自解密手艺 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

揭开病毒的面纱——恶意代码自解密手艺

申博_安全工具 申博 147次浏览 已收录 0个评论

剖析病毒的时刻,经常碰到一种很新鲜的征象,运用查壳东西检察一个样本明显没有加壳,然则反编译或调试时,却不克不及直观地看到样本的歹意操纵,这是为何呢?很简单,这是由于攻击者采用了自定义的加密要领,在样本运转时完成自解密并实行真正的歹意操纵,以是看到的只是样本还没解密的模样,天然剖析不出歹意代码的逻辑。

下面就经由过程实例来窥伺下歹意代码自解密的手艺吧,以下是一个Ammyy病毒的下载器(MD5:28EAE907EA38B050CBDCC82BB623C00A),运用DIE查壳发明,该样本并没有加任何的壳。

揭开病毒的面纱——恶意代码自解密手艺

但是当查找字符串时,却未能发明一些可疑的字符串(以下载器常有的歹意url),看到的只是一堆乱码,看来,该样本很有能够就是运用了自解密的手艺。

揭开病毒的面纱——恶意代码自解密手艺

反编译该样本,也难以看出它的代码逻辑,许多动态地点的call。

揭开病毒的面纱——恶意代码自解密手艺

关于这类样本,反编译器很难看到一些主要的操纵,由于大部分都是解密操纵,以是只能经由过程调试器单步调了。单步调试没啥好技能,碰到跑飞的call下断点然后从新调试。调试的时刻,要注意VirtualAlloc、GlobalAlloc、HeapCreate这些函数,由于歹意代码一样平常运用这些函数来请求一段内存空间,来寄存解密出来的歹意代码。以下图,该样本挪用的是HeapCreate建立了0x230000这段内存。

揭开病毒的面纱——恶意代码自解密手艺

接着歹意代码用了je + retn的体式格局轮回解密0x230000处的数据。

揭开病毒的面纱——恶意代码自解密手艺

解密终了后,歹意代码挪用call esi将实行流从0x40XXXX转到0x230000。

揭开病毒的面纱——恶意代码自解密手艺

但是,0x230000处的代码其实不实行中心的歹意操纵,目标在于修正0x40XXXX处的原始代码。以下,它会挪用VirtualProtect将0x400000的内存属性改成RW(读写),进而修正本来的代码。

揭开病毒的面纱——恶意代码自解密手艺

修正后的0x400000内存段的属性以下。

揭开病毒的面纱——恶意代码自解密手艺

修正完代码,挪用jmp esi跳回到0x40XXXX举行实行,此时,这段内存的代码已被修正过了,终究最先实行中心的歹意操纵了。

2019年4月网络安全状况分析报告

一、网络安全状况概述 2019年4月,互联网网络安全状况整体指标平稳,但各类安全事件依然时有发生。从深信服安全云脑捕获的攻击事件来看,病毒攻击手段多种多样,包括绕过杀毒软件无文件木马攻击,还有伪装国家机关发送钓鱼邮件进行攻击等,隐蔽性更强,入侵后会上传多种僵尸网络木马及挖矿程序,难以彻底清除。 信息泄露事件在4月频发,包括某平台超过1亿用户个人数据被暴露在互联网,公职人员泄露公民信息获利,三分之二的酒店网站泄露客人预订信息给第三方等,给用户人身安全、财产安全带来了隐患。此外,监测数据显示,网站攻击数量在4月小幅上升,并且CSRF跨站请求伪造、点击劫持等问题也较为严重。 4月,深信服安全云脑累计发现: · 恶意攻击19.6亿次,平均每天拦截恶意程序6533万次。 · 活跃恶意程序30035个,其中感染型病毒6852个,占比22.81%;木马远控病毒13733个,占比45.72%。挖矿病毒种类502个,拦截次数12.29亿次,较3月上升25%,其中Minepool病毒家族最为活跃。 深信服漏洞监测平台对国内已授权的5661个站点进行漏洞监控,发现: · 高危站点1991个,高危漏洞24495个,漏洞类别主要是CSRF跨站请求伪造,占比88%。 · 监控在线业务6724个,共识别潜在篡改的网

揭开病毒的面纱——恶意代码自解密手艺

将内存dump下来发明,如今的代码已是解密后的歹意代码了,程序逻辑清晰可见,经由过程字符串查找能够找到待下载的病毒的url。

揭开病毒的面纱——恶意代码自解密手艺

至此,该下载器的功用已剖析终了,主要功用为从http://thespecsupportservice.com/load.png下载Ammyy病毒并运转。

揭开病毒的面纱——恶意代码自解密手艺

由此,能够总结得出,歹意代码自解密的步调一样平常为以下5步:请求内存 -> 复制数据 -> 解密数据 -> 跳转到堆中实行歹意代码 -> 修正原始代码并跳回实行。不外,我们能够会有个迷惑,病毒为何不直接在堆中实行中心的歹意操纵呢,还要经由过程修正原始代码来在0x400000空间解密实行中心的歹意代码。这是由于,一些对照高等的沙箱、杀软会监控病毒建立大片内存空间的操纵,这时候一旦释放出解密代码,便会马上被沙箱、杀软检测到,以是在堆中的代码一样平常不会只会直接举行中心的歹意操纵。

揭开病毒的面纱——恶意代码自解密手艺

了解了歹意代码自解密手艺后,来看看近来盛行的GandCrab讹诈病毒(MD5:48A673157DA3940244CE0DFB3ECB58E9),运用的也是这类自解密手艺,来完成免杀。运用DIE对样本举行检测,显现并未加壳。

揭开病毒的面纱——恶意代码自解密手艺

自解密的手段跟上述提到的类似,在0x1280000处请求了一段内存空间。

揭开病毒的面纱——恶意代码自解密手艺

堆中的代码卖力修正原始代码并跳转归去实行。

揭开病毒的面纱——恶意代码自解密手艺

跳转返来后,0x403016处的代码就是解密后的中心歹意代码,接下来就能够调试GandCrab的歹意代码了。

揭开病毒的面纱——恶意代码自解密手艺

将内存Dump下来,也能够剖析出加密文件的代码逻辑。

揭开病毒的面纱——恶意代码自解密手艺

在VT上查询该病毒的报毒状况,只要也许折半的引擎报毒,并且报出的病毒范例大多不克不及定位到Ransom,看来,GandCrab运用这类自解密的体式格局照样起到了肯定的免杀结果。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明揭开病毒的面纱——恶意代码自解密手艺
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址